帷幄

病毒木馬為了達(dá)到悄悄攻擊目的，常常會(huì)在被攻擊主機(jī)系統(tǒng)偷偷創(chuàng)建系統(tǒng)隱藏賬號(hào)，同時(shí)將其操作權(quán)限提升為系統(tǒng)管理員級(jí)別的權(quán)限，以保證日后能利用該隱藏賬號(hào)進(jìn)行各種非法攻擊活動(dòng)。對(duì)于這種類型的不速之客，我們必須想盡一切辦法將其從系統(tǒng)中顯身，同時(shí)及時(shí)將其刪除干凈，避免黑客、木馬將其作為后門(mén)，對(duì)本地系統(tǒng)進(jìn)行無(wú)休止的攻擊與蹂躪。

在局域網(wǎng)工作環(huán)境中，各種各樣的不速之客會(huì)潛藏在我們身邊，要是得過(guò)且過(guò)，對(duì)這些不速之客視而不見(jiàn)的話，說(shuō)不定哪一天它們會(huì)給我們帶來(lái)安全麻煩，甚至?xí)?lái)不可估量的經(jīng)濟(jì)損失。為了讓局域網(wǎng)安全穩(wěn)定運(yùn)行，讓自己遠(yuǎn)離潛在安全威脅，我們需要在平時(shí)煉就過(guò)硬的安全防范本領(lǐng)，以便及時(shí)讓潛藏的各種不速之客統(tǒng)統(tǒng)顯身。

讓潛藏的特權(quán)賬號(hào)顯身

病毒木馬為了達(dá)到悄悄攻擊目的，常常會(huì)在被攻擊主機(jī)系統(tǒng)偷偷創(chuàng)建系統(tǒng)隱藏賬號(hào)，同時(shí)將其操作權(quán)限提升為系統(tǒng)管理員級(jí)別的權(quán)限，以保證日后能利用該隱藏賬號(hào)進(jìn)行各種非法攻擊活動(dòng)。對(duì)于這種類型的不速之客，我們必須想盡一切辦法將其從系統(tǒng)中顯身，同時(shí)及時(shí)將其刪除干凈，避免黑客、木馬將其作為后門(mén)，對(duì)本地系統(tǒng)進(jìn)行無(wú)休止的攻擊與蹂躪。然而，這種潛藏的特權(quán)賬號(hào)隱蔽性比較強(qiáng)，我們往往很難看到它的“身影”，通過(guò)打開(kāi)計(jì)算機(jī)管理窗口，定位到“本地用戶和組”、“用戶”分支上的方法，往往不能讓其直接顯身。

考慮到潛藏的特權(quán)賬號(hào)都屬于administrators用戶組，都具有系統(tǒng)管理員級(jí)別的操作權(quán)限，我們可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車(chē)，彈出MS-DOS命令行窗口，在該窗口命令提示符狀態(tài)下，執(zhí)行“net localgroup administrators”字符串命令，這時(shí)所有被授予系統(tǒng)管理員權(quán)限的特權(quán)賬號(hào)就會(huì)自動(dòng)顯身。比方說(shuō)，在如圖1所示的結(jié)果界面中，我們發(fā)現(xiàn)本地系統(tǒng)中存在一個(gè)名稱為“aaaa$”、權(quán)限為系統(tǒng)管理員級(jí)別的隱藏賬號(hào)，這種潛藏的特權(quán)賬號(hào)如果不是我們本人創(chuàng)建的話，那很可能是病毒木馬創(chuàng)建的，我們必須要及時(shí)將其從系統(tǒng)中刪除掉。在執(zhí)行刪除操作時(shí)，只要在MS-DOS工作窗口中輸入“net user aaaa$ /delete”命令即可。

當(dāng)然，并不是所有的特權(quán)潛藏賬號(hào)，都能通過(guò)上述方法顯身，有些狡猾的不速之客，既無(wú)法在DOS命令行窗口中顯身，也無(wú)法在計(jì)算機(jī)管理窗口中顯身，系統(tǒng)管理員往往只能從系統(tǒng)的安全日志文件中找到它們的“身影”。對(duì)于這類狡猾的不速之客，我們無(wú)法直接將其刪除，只能在DOS命令行窗口中使用“net user xxxx 1234”之類的命令修改特權(quán)賬號(hào)的密碼，讓其無(wú)法繼續(xù)生效，這樣就能間接拒絕黑客、木馬繼續(xù)使用該特權(quán)賬號(hào)實(shí)施非法攻擊。

讓偽裝的惡意進(jìn)程顯身

不少病毒木馬程序往往會(huì)通過(guò)喬裝改扮之術(shù)，來(lái)將有威脅的進(jìn)程模仿成普通的進(jìn)程，以便躲避用戶或殺毒軟件的查殺。那么有沒(méi)有辦法一眼就能看穿系統(tǒng)進(jìn)程的來(lái)龍去脈，讓潛藏在系統(tǒng)進(jìn)程中的不速之客顯身呢？相信很多人會(huì)下意識(shí)地想到系統(tǒng)任務(wù)管理器。其實(shí)，任務(wù)管理器自身的能力很有限，比方說(shuō)，在任務(wù)管理器窗口的進(jìn)程標(biāo)簽頁(yè)面中，或許能顯示有若干個(gè)svchost進(jìn)程，用戶往往不能判斷出哪個(gè)svchost進(jìn)程究竟調(diào)用了什么應(yīng)用程序。正是基于這種特性，網(wǎng)絡(luò)病毒或木馬程序特別喜歡將自身偽裝成svchost進(jìn)程，同時(shí)將病毒文件隱藏到系統(tǒng)文件夾中。

為了能快速發(fā)現(xiàn)潛藏在系統(tǒng)進(jìn)程中的不速之客，我們可以巧妙利用Windows系統(tǒng)內(nèi)置的“wmic”命令，來(lái)查看特定進(jìn)程究竟在調(diào)用什么應(yīng)用程序，如果發(fā)現(xiàn)它正在調(diào)用一個(gè)陌生的應(yīng)用程序時(shí)，基本就能判斷目標(biāo)進(jìn)程為病毒木馬的偽裝進(jìn)程。在進(jìn)行這種查看操作時(shí)，只要依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車(chē)，切換到DOS命令行工作窗口。在其中執(zhí)行字符串命令“wmic process where creationclassname="win32_process" get caption，executablepath”，從返回的如圖2所示結(jié)果界面中，就能輕易發(fā)現(xiàn)每個(gè)系統(tǒng)進(jìn)程各自調(diào)用了什么應(yīng)用程序。一旦看到有陌生程序被偷偷調(diào)用時(shí)，那調(diào)用該程序的進(jìn)程肯定是病毒木馬偽裝的惡意進(jìn)程，我們必須立即強(qiáng)行終止它的運(yùn)行，以避免它繼續(xù)影響系統(tǒng)的運(yùn)行安全。

要是認(rèn)為命令行界面不夠直觀時(shí)，還能借助TaskPatrol這款專業(yè)進(jìn)程管理工具，來(lái)讓偽裝的惡意進(jìn)程快速顯身。當(dāng)懷疑有系統(tǒng)進(jìn)程被病毒木馬偽裝時(shí)，只要開(kāi)啟TaskPatrol工具的運(yùn)行狀態(tài)，點(diǎn)擊主界面中的“security rating”列，就能看到每個(gè)系統(tǒng)進(jìn)程的安全威脅程度，其中安全數(shù)值比較高的進(jìn)程很可能是偽裝進(jìn)程，它們對(duì)系統(tǒng)的安全運(yùn)行是有威脅的。選中疑似偽裝進(jìn)程并右擊它，從彈出的右鍵菜單中點(diǎn)擊“reanalyze”命令，TaskPatrol工具就能對(duì)其進(jìn)行安全分析。分析結(jié)束后，我們就能從“monitoring functions”位置處，知道疑似偽裝進(jìn)程是否具有監(jiān)視功能，比方說(shuō)有的惡意進(jìn)程可以攔截鍵盤(pán)輸入，在這里可以識(shí)別出指定進(jìn)程對(duì)系統(tǒng)底層控制力到底有多大；在“registry function”位置處，能判斷出指定進(jìn)程對(duì)系統(tǒng)注冊(cè)表的操作能力到底如何，比方說(shuō)有沒(méi)有訪問(wèn)、保存、查詢、編輯等功能；在“process function”位置處，可以識(shí)別出指定進(jìn)程是否具有操作、運(yùn)行、分析其他進(jìn)程的能力，從而斷定特定進(jìn)程對(duì)其他進(jìn)程的操控力有多深；在“internet function”位置處，可以識(shí)別出特定進(jìn)程是否支持網(wǎng)絡(luò)連接功能；在“file function”位置處，可以分析出指定進(jìn)程有沒(méi)有修改、查詢、復(fù)制、刪除、定位、重命名文件等功能，從而進(jìn)一步判斷出目標(biāo)進(jìn)程對(duì)文件系統(tǒng)的管理力有多強(qiáng)。一旦根據(jù)上述分析結(jié)果確認(rèn)指定進(jìn)程就是病毒木馬偽裝進(jìn)程時(shí)，立即用鼠標(biāo)選中并右擊它，從快捷菜單中執(zhí)行“terminate process”命令，終止偽裝進(jìn)程的運(yùn)行狀態(tài)，防止它繼續(xù)影響系統(tǒng)安全運(yùn)行。

讓隱藏的病毒服務(wù)顯身

為了躲避用戶的“圍剿”，病毒木馬還喜歡將惡意程序悄悄潛藏到Windows系統(tǒng)服務(wù)中，通過(guò)替換、修改不常用的系統(tǒng)服務(wù)或直接創(chuàng)建新的系統(tǒng)服務(wù)，來(lái)隱藏攻擊源頭。惡意程序有一個(gè)明顯的特性，就是它們的啟動(dòng)類型幾乎都為“自動(dòng)”，這樣才能實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)運(yùn)行。要查看自己的計(jì)算機(jī)系統(tǒng)是否有隱藏的病毒服務(wù)時(shí)，一般會(huì)在系統(tǒng)運(yùn)行對(duì)話框中，執(zhí)行“services.msc” 命令，從彈出的系統(tǒng)服務(wù)列表中手動(dòng)查看識(shí)別。很顯然，這種方法準(zhǔn)確性較差，而且操作效率也十分低下。

其實(shí)，善于使用Windows系統(tǒng)內(nèi)置的“wmic”命令，我們可以快速地讓隱藏的病毒服務(wù)顯身。只要依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車(chē)，切換到DOS命令行工作窗口。在其中執(zhí)行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >111.txt”，將此刻所有處于自啟動(dòng)狀態(tài)的系統(tǒng)服務(wù)列表信息導(dǎo)入到“111.txt”文件中，用記事本程序打開(kāi)該文本文件時(shí)，能查看到每個(gè)自啟動(dòng)服務(wù)的描述信息和調(diào)用程序路徑信息（如圖3所示），這有利于我們判斷特定系統(tǒng)服務(wù)是否為隱藏的病毒服務(wù)。

日后，當(dāng)懷疑本地計(jì)算機(jī)系統(tǒng)隱藏有病毒服務(wù)時(shí)，可以在DOS命令行窗口中，繼續(xù)執(zhí)行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >222.txt”，將系統(tǒng)在故障狀態(tài)下的所有自啟動(dòng)類型服務(wù)列表信息導(dǎo)入到“222.txt”文件中。之后，執(zhí)行字符串命令“fc 222.txt 111.txt”，讓W(xué)indows系統(tǒng)自動(dòng)對(duì)比分析系統(tǒng)出現(xiàn)故障前后的服務(wù)變化情況，這樣就能輕易讓隱藏的病毒服務(wù)顯身了。

讓可疑的移動(dòng)設(shè)備顯身

現(xiàn)在，不少病毒都能通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳播，為了保護(hù)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全，很多單位都會(huì)嚴(yán)格禁止用戶隨意使用移動(dòng)存儲(chǔ)設(shè)備的。不過(guò)，總有一些人貪圖操作方便，悄悄在局域網(wǎng)重要主機(jī)中使用移動(dòng)存儲(chǔ)設(shè)備。為了保護(hù)局域網(wǎng)重要主機(jī)運(yùn)行安全，該怎樣讓偷偷插入到重要主機(jī)中的可疑移動(dòng)硬盤(pán)顯身呢，也就是說(shuō)，怎樣才能找到可疑移動(dòng)設(shè)備的使用者呢？要達(dá)到這個(gè)目的，不妨著眼系統(tǒng)注冊(cè)表，找到所插移動(dòng)設(shè)備的ID數(shù)值和品牌內(nèi)容，依照這些內(nèi)容，就能初步判斷出可疑移動(dòng)設(shè)備是誰(shuí)的了。

依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“cmd”命令，切換到MS-DOS工作窗口。執(zhí)行“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”字符串命令，在結(jié)果信息的“FriendlyName”位置處，查看并記錄下所插移動(dòng)設(shè)備的品牌內(nèi)容，如圖4所示。比方說(shuō)，這里我們查看到所插移動(dòng)存儲(chǔ)設(shè)備是聯(lián)想品牌，那么可疑設(shè)備自然就是聯(lián)想移動(dòng)硬盤(pán)或優(yōu)盤(pán)了。

值得注意的是，在命令行窗口中查看移動(dòng)設(shè)備的品牌內(nèi)容，有時(shí)會(huì)比較費(fèi)力，為了便于查詢，可以嘗試在MS-DOS工作窗口中，執(zhí)行字符串命令“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s >E：＼aaa.txt”，將命令返回結(jié)果信息導(dǎo)入到“E：＼aaa.txt”文件中，日后使用記事本程序訪問(wèn)“E：＼aaa.txt”文件內(nèi)容，就能快速地查看到可疑移動(dòng)設(shè)備的品牌內(nèi)容了。

當(dāng)然，在相同的網(wǎng)絡(luò)環(huán)境中，使用同一品牌設(shè)備的用戶可能比較多，這時(shí)，簡(jiǎn)單通過(guò)設(shè)備品牌，就不能讓可疑移動(dòng)設(shè)備顯身了，只有使用其他途徑才能識(shí)別出誰(shuí)在局域網(wǎng)重要主機(jī)中悄悄使用過(guò)移動(dòng)存儲(chǔ)設(shè)備。考慮到Windows系統(tǒng)會(huì)為所插移動(dòng)設(shè)備智能分配唯一ID數(shù)值，也就是說(shuō)，每只移動(dòng)設(shè)備都有一個(gè)獨(dú)一無(wú)二的ID，要是可以查看到所插移動(dòng)設(shè)備的ID數(shù)值，就能讓可疑移動(dòng)設(shè)備顯身了，下面就是詳細(xì)的實(shí)現(xiàn)步驟：

打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“cmd”命令，進(jìn)入DOS命令行窗口，在該窗口命令提示符下輸入“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”命令，在結(jié)果信息的“Disk&Ven”位置處，查找并記錄下移動(dòng)設(shè)備ID數(shù)值，要是發(fā)現(xiàn)結(jié)果信息中有多個(gè)移動(dòng)設(shè)備ID時(shí)，那就表示有多位用戶在重要主機(jī)系統(tǒng)中悄悄使用過(guò)移動(dòng)設(shè)備。

獲取到可疑移動(dòng)設(shè)備的ID數(shù)值后，再查看單位每位員工的移動(dòng)設(shè)備ID數(shù)值，如果該數(shù)值與可疑移動(dòng)設(shè)備的ID數(shù)值相同，那么擁有該設(shè)備的員工就是偷偷在局域網(wǎng)中違規(guī)使用移動(dòng)設(shè)備的人。在查看員工的移動(dòng)設(shè)備ID數(shù)值時(shí)，只要先將其正確插入到計(jì)算機(jī)中，打開(kāi)計(jì)算機(jī)窗口，右擊目標(biāo)設(shè)備圖標(biāo)，點(diǎn)擊右鍵菜單中的“屬性”命令，彈出特定設(shè)備屬性對(duì)話框，點(diǎn)擊“詳細(xì)信息”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“設(shè)備實(shí)例路徑”或“設(shè)備范例ID”位置處，就能看到目標(biāo)設(shè)備的ID數(shù)值了。

讓幕后的占用程序顯身

對(duì)某些文件執(zhí)行刪除或其他操作時(shí)，系統(tǒng)有時(shí)會(huì)彈出“文件正在被另一個(gè)人或程序使用”之類的提示，事實(shí)上用戶自己可能沒(méi)有啟動(dòng)任何程序，那如何讓幕后的占用程序顯身呢？我們可以請(qǐng)“OpenedFilesView”這款外力工具來(lái)幫忙，利用它可以輕松地查看到哪個(gè)進(jìn)程或程序偷偷占用了文件，日后只要關(guān)閉這些幕后程序或進(jìn)程，解除對(duì)文件的占用操作，就能重新對(duì)文件正常執(zhí)行移動(dòng)、刪除或打開(kāi)操作了。

從網(wǎng)上下載獲得“OpenedFilesView”工具的壓縮包后，直接用鼠標(biāo)雙擊壓縮包中的“OpenedFilesView.exe”文件，不需要經(jīng)過(guò)安裝操作，就能打開(kāi)對(duì)應(yīng)程序的主界面了，在這里我們能看到所有被打開(kāi)的文件已經(jīng)對(duì)應(yīng)的進(jìn)程信息。為了弄清楚目標(biāo)文件究竟被哪一種進(jìn)程偷偷占用，我們可以用鼠標(biāo)右鍵單擊目標(biāo)文件名稱，從彈出的快捷菜單上執(zhí)行“屬性”命令，在其后出現(xiàn)的設(shè)置對(duì)話框中，就可以準(zhǔn)確查看到占用文件的具體進(jìn)程名稱和進(jìn)程路徑信息了。揪出占用文件的黑手進(jìn)程后，那么現(xiàn)在就要對(duì)它“立即行刑”，將其解鎖了。在執(zhí)行文件解鎖操作時(shí)，先在目標(biāo)文件名稱上單擊鼠標(biāo)右鍵，執(zhí)行快捷菜單中的“結(jié)束選定文件占用的進(jìn)程”命令，就能切斷幕后進(jìn)程的黑手，此后就能對(duì)目標(biāo)文件進(jìn)行正常操作了。當(dāng)然，要提醒大家的是，強(qiáng)行中斷一些特殊進(jìn)程時(shí)，容易造成系統(tǒng)崩潰現(xiàn)象。

在Windows 7系統(tǒng)環(huán)境下，利用系統(tǒng)內(nèi)置的“資源監(jiān)視器”程序，也能讓占用文件的幕后黑手顯身，具體操作步驟為：首先打開(kāi)Windows 7系統(tǒng)的“開(kāi)始”菜單，在搜索文本框中輸入“資源監(jiān)視器”，并啟動(dòng)運(yùn)行該程序，切換到資源管理器界面，點(diǎn)選“CPU”標(biāo)簽，打開(kāi)如圖5所示的標(biāo)簽設(shè)置頁(yè)面，展開(kāi)其中的“關(guān)聯(lián)的句柄”列表區(qū)域，之后在搜索文本框中輸入被占用的文件名稱，此時(shí)很快就能發(fā)現(xiàn)目標(biāo)文件究竟是被哪些程序或進(jìn)程所占用了，最后關(guān)閉這些偷偷占用文件的幕后程序，就能對(duì)目標(biāo)文件執(zhí)行各種操作了。

讓神秘的共享連接顯身

在局域網(wǎng)工作環(huán)境中，最討厭有些人偷偷訪問(wèn)重要主機(jī)中的共享文件夾，這就像貿(mào)然闖入別人家中一樣不讓人歡迎，那么該怎樣才能讓悄悄訪問(wèn)重要共享內(nèi)容的神秘連接顯身呢，找到神秘訪問(wèn)者以后又該如何將它踢掉呢？

很簡(jiǎn)單！在重要主機(jī)系統(tǒng)中，依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“cmd”命令，切換到DOS命令行提示符狀態(tài)，輸入字符串命令“net use”，單擊回車(chē)鍵后，從返回的結(jié)果信息中，就能發(fā)現(xiàn)究竟是誰(shuí)在偷偷訪問(wèn)特定的共享資源了，其中“遠(yuǎn)程”這一列信息顯示的就是神秘用戶的計(jì)算機(jī)IP地址，假設(shè)該地址為“10.176.3.12”。要想切斷這個(gè)神秘共享連接時(shí)，只要在DOS命令行窗口中，執(zhí)行字符串命令“net use ＼＼10.176.3.12＼IPC$ /del”即可。要是同時(shí)訪問(wèn)特定共享資源的神秘連接很多時(shí)，我們可以簡(jiǎn)單地執(zhí)行字符串命令“net use * /del”，將所有共享訪問(wèn)連接統(tǒng)統(tǒng)踢走。

要是我們對(duì)命令提示符狀態(tài)下的操作不熟悉，也可以依次單擊“開(kāi)始”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一雙擊其中的“管理工具”、“計(jì)算機(jī)管理”圖標(biāo)，進(jìn)入到計(jì)算機(jī)管理窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“系統(tǒng)工具”、“共享文件夾”節(jié)點(diǎn)上（如圖6所示），此時(shí)，只需要選中“會(huì)話”選項(xiàng)，在右側(cè)列表中就能查看到連接到本機(jī)的所有共享用戶。要是我們想切斷某個(gè)神秘用戶的共享連接時(shí)，只需要用鼠標(biāo)右擊該會(huì)話連接，點(diǎn)擊右鍵菜單中的“關(guān)閉會(huì)話”命令即可。除此之外，我們還能直接關(guān)閉正在訪問(wèn)的共享文件，選擇“共享文件夾”節(jié)點(diǎn)下的“打開(kāi)文件”選項(xiàng)，在右側(cè)列表中選中要關(guān)閉的共享文件，打開(kāi)它的右鍵菜單，點(diǎn)擊“將打開(kāi)的文件關(guān)閉”命令即可。